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a= (54) Title: FACTORIZATION-BASED ENCRYPTION METHOD 

(54) Bezeichnung: VERSCHLtJSSELUNGSVERFAHREN BASIEREND AUF FAKTORISIERUNG 

(57) Abstract: The invention relates to an asymmetric encryption method. The public key consists of a large composite number n, 

^ the private key consists of the factors of the composite number. The encryption method comprises a number of iterations of individual 
encryption steps that are successively undone during encryption. The reversal of an individual encryption step requires the resolution 
of an equation of the second degree modulo m. The private key preferably consists of the large prime numbers p and^. The public 
key is the product n of these two prime numbers and a comparatively smaU integer L which is greater one. The message m consists 
^ of two integer values nij and m2, i.e. m = (my, ma), whereby both values are elements of the set = {0,1,2, .. .,n-l }. The encryption 
is established via the Gquationc=f'(m), 

(57) Zusammenfassung: Bei der Erfindung handelt es sich um ein asymmetrisches Verschltisselungsverfahren. Der offentiiche 
Schliissel besteht aus einer grossen zusanmiengesetzten Zahl n, der geheime Schtissel besteht aus den Faktoren der zusammenge- 
setzten Zahl. Die Verschlusselung besteht aus einer Anzahl von Iterationen einzelner Verse hliasselungsschritte, die wahrend der 

2 EntschlUsselung sukzessive riickgangig gemacht werden. Die Umkehrung eines einzelnen Verschliisselungsschrittes erfordert dabei 
das Ldsen einer quadratischen Gleichung modulo m. Der geheime Schliissel besteht vorzugsweise aus den grossen Primzahlen p und 

^ q. Der Qffentliche Schliissel ist das Produkt n dieser beiden Primzahlen sowie eine vergleichsweise kleine ganze Zahl L, die grosser 
als eins ist. Die Nachricht m besteht aus zwei ganzzahligen Werten mi und mi, also m = (mi, m^) wobei beide Werte in der Menge 

^ Zn= {0,1,2, . ,n-l} liegen. Die Verschlusselung geschieht durch die Gleichung c=f^(m). 
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VerschlUsselungsverf ahren basierend auf Faktorisierung 

Beschreibung 

Die Erfindung betrifft ein asyitimetrisches bzw. offentliches 
Verschliisselungsverfahren. Insbesondere betrifft die Erfindung 
ein Verfahren zur Verschlusselung von Daten auf der Basis des 
Faktorisierungsproblems. Hierbei ist die Entzifferung von 
chiffrierten Daten so komplex wie das Problem, groBe 
Primteiler grolier Zahlen zu finden. Im Detail sind bei der 
vorliegenden Erfindung bei der Entschlusselung quadrat ische 
Gleichungen zu ISsen. 

Urn Daten bei der Speichefung oder bei der Obertragung uber 
unsichere Kommunikationskanale vor dem Zugriff Unbefugter zu 
schutzen, werden Verschliisselungsverfahren eingesetzt- Dabei 
werden die Daten so verandert, dass ohne die Kenntnis eines 
bestimmten Schliissels diese Veranderung nicht ruckgangig 
gemacht werden kann. Verschlusselungsverf ahren lassen sich in 
die Kategorien asymmetrische und symmetrische 

Verschliisselungsverfahren unterteilen . Bei symmetrischen 
Verfahren wird derselbe Schltissel sowohl zur Ver- als auch zur 
Entschlusselung verwendet. Asymmetrische Verfahren besitzen 
zwei unterschiedliche SchlUssel, von denen einer zur 
Verschlusselung und der andere zur Entschlusselung verwendet 
wird. Dabei kann der VerschiasselungsschUssel alien 
Teilnehmern bekannt sein, wohingegen der 

Entschlusselungsschliissel geheim gehalten werden muss. Man 
bezeichnet daher den Verschliisselungsschlussel auch als 
5ffentlichen Schliissel und den Entschlusselungsschliissel als 
geheimen Schlussel. Eine Obersicht uber moderne 
Verschlusselungsverf ahren bietet z. B. das Buch [1] laut 
Literaturliste . 
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Bekannt sind die Verfahren von Rabin ([3]) und Williams ([6]), 
die ebenfalls quadratische Gleichungen verwenden. Allerdings 
wird bei diesen Verfahren nur die Halfte der Datenbits pro 
Obertragung Ubermittelt. Hierdurch entstehen entsprechende 
Komplexitatsbeschrankungen und ein hoherer Bedarf an 
Rechenleistung bei der Verschltisselung und bei der 
Ent s chltis s e lung . 

Das verfahren von Schwenk und Eisfeld ([5]) bietet bei 
Polynomen zweiten Grades wenig Sicherheit gegen Angriffe, die 
Abhangigkeiten der Nachrichtenteile in, und voneinander 
ausnutzen. 

Gel6st wird die Aufgabe durch eine Erfindung mit den Merkmalen 
der unabhangigen AnsprUche. Hierdurch wird ein asyimetrisches 
Verschliisselungsverfahren beschrieben, das auf dem 
Faktorisierungsproblem basiert. Es hat bei der Verschltisselung 
eine geringere Komplexitat als das RSA-Verf ahren und kann mehr 
Datenbits pro Verschltisselung tibertragen als das Rabin- bzw. 
Williamsverf ahren . 

Wie bereits oben beschrieben wurde, handelt es sich bei der 
Erfindung um ein asymmetrisches Verschltisselungsverf ahren. Der 
offentliche Schltissel besteht aus einer groBen 
zusammengesetzten Zahl n, der geheime Schtissel besteht aus den 
Faktoren der zusammengesetzten Zahl. Die Verschltisselung 
besteht aus einer Anzahl von Iterationen einzelner 
Verschltisselungsschritte, die wShrend der Entschltisselung 
sukzessive rUckgangig gemacht werden. Die Umkehrung eines 
einzelnen Verschltisselungsschrittes erfordert dabei das L5sen 
einer quadratischen Gleichung modulo n (siehe unten) . Das 
L6sen einer solchen quadratischen Gleichung ist nur dann 
leicht m5glich, wenn die Faktoren von n bekannt sind. 
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Der geheime Schiassel besteht vorzugsweise aus den groBen 
Primzahlen p und g. Der offentliche Schlussel ist das Produkt 
n dieser beiden Primzahlen sowie eine vergleichsweise kleine 
ganze Zahl L, die grolier als eins ist. Die Nachricht m besteht 
aus zwei ganzzahligen Werten mi und m2, also 

wobei beide Werte in der Menge = {0,1,2, ... ,n-l} liegen. 
Die Verschliisselung geschieht durch die Gleichung 

c=f^ (m) . 

Der verschlUsselte Wert c besteht im vorliegenden Fall 
ebenfalls aus einem Zweitupel ganzer Zahlen aus Znr d. h. 
c = (Ci^ C2) . 

Die Funktion (m) ist rekursiv definiert durch 

Fur j = 1 gilt fUm) = f(m) = (fi(m),f2(m)), wobei 

fi(m) = ina+fli2 mod n 

f2 (t^) = mi ' m2 mod n . 

Der verschlUsselte Text wird folglich erhalten mittels der 
Rekursionen 

ax+i =^ Si+Jbi mod n (1) 
b±+i = 3ti ' bi iriod n. (2) 
mit den Startwerten ao ^ mir bo ^ m2 und den Endwerten ci = aj,, 

C2 
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Ftir die Entschliisselung muss man die Rekursion umkehren 
kSnnen. Dies geschieht durch Auflosung obiger Gleichungen nach 
ai und Jbi. Man erhalt sogleich die quadratische Gleichung 

- ai+i • z + Jbi+i = 0 mod n, (3) 

die als Losungen a, und besitzt. Auf das Problem der 

weiteren LSsungen von Gleichung (3) gehen wir spater ein. 1st 
n das Produkt von sehr grofien Primzahlen, so ist das AuflSsen 
von quadratischen Gleichungen ohne Kenntnis der Primfaktoren 
vermutlich ein sehr schwieriges Problem. Bei Kenntnis der 
Primfaktoren ist dies jedoch leicht mOglich. Die gangigen 
Verfahren zum Wurzelziehen modulo n sind ausfuhrlich in [2] 
beschrieben . 

Damit das VerschlUsselungssystem sicher ist, muss die 
Rekursion mindestens zweimal durchgefahrt werden, da ansonsten 
bei genau einmaliger Durchf tihrung die Nachrichtenteile mi und 
m linear in den Term ai = mi + mz eingehen. 

Ein weiterer wichtiger Aspekt ist die Auswahl der korrekten 
Wurzeln bei der Entschiasselung 

Wenn die Zahl n genau zwei Primfaktoren p und q enthait, hat 
Gleichung (3) vier LSsungen. Mit wenigen Bits ftir jedes a^, i = 
1, 2, ... , L kann der Sender dem legit imen EmpfSnger die 
Mlhrdeutigkeit eliminieren. Zur AuflSsung der Mehrdeutigkeit 
k5nnen z. B. von den a, jeweils PrUf- bzw. Paritatszeichen 
abgeleitet werden. 

im ganstigsten Fall werden, um die Mehrdeutigkeit in jedem 
Schritt v611ig aufzuiesen, 2 Bit pro Iterationsschritt 
benOtigt. Die 4 Ldsungen von Gleichung (3) sind gegeben durch 



z, =-^^+w, mod». 



(4) 
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wobei 

die vier Quadratwurzeln des obigen Ausdrucks modulo n sind. 
Die vier Werte hSngen wie folgt zusainmen: 

w,^ = -w^ modn und w,^ = -w,^ mod« 

Wir wahlen die Paritat (gerade, ungerade) der vier Wurzeln so, 
dass 

Wj^^ = gerade und w^^ = ungerade 

sind. 

Eine besonders elegante Losung, urn alle vier Wurzeln 
voneinander unterscheiden zu kSnnen, ist fur p^q^S mod 4 wie 
folgt: 

Zusatzlich zur Paritat wird als weiteres 

Unterscheidungskriterium das so genannte Jacobisymbol (ws/n) 
benutzt (zur Theorie und zur effizienten Berechnung siehe 
z. B. [2]). Das Jacobisymbol liefert ftir nichttriviale Werte 
von wi, wie wir sie bei der Dechif f rierung benOtigen, den Wert 
1 Oder -1. Die Berechnung des Jacobisymbols ISsst sich mit 
Aufwand 0(log^ n) bewerkstelligen. 

Die Paritat und das Jacobisymbol reichen aus, um genau eine 
der vier Wurzeln auszuwahlen. Die Paritat und das 

Jacobisymbol lassen sich mit 2 Bit codieren. Durch AnhSngen 
dieser beiden Bits bei jedem der L Iterationsschritte kann man 
den legitimen EmpfSnger in die Lage versetzen, die L 
Iterationsschritte riickgangig zu machen. 
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Mit Wi wird diejenige Wurzel, die in Gleichung (4) auf die 
Losung ai fiihrt, bezeichnet, also ai = ai+i /2 + wj, mod n. Zu 
dieser Wurzel werden jeweils die ParitSt und das Jacobisymbol 
angegeben. Mit dem Wert von ai folgt dann sofort der Wert fUr 
jbi zu jbi = ai+i — ai mod n. Zusammenf assend erhalt man also 

=«,>i/2 + >v^modn (5) 
f>i = /2- modw. (6) 

Bei der Verschltisselung wird bei jedem Schritt • aus dem 
Zahlenpaar (a±r bi) das Paar (a±+i, b±+i) berechnet sowie die 
Paritat und das Jacobisymbol von wi = (ai - ai+i/2) mod n. 

Bei Kenntnis der Faktorisierung lassen sich diese Schritte 
jeweils rtickgangig machen durch Aufl5sung von 

wobei Paritat und Jacobisymbol dieser Wurzel dargestellt 
werden. 

Ein weiterer wichtiger Aspekt ist die Parameterwahl • 
Realistische Grofienordnungen fur jede der beiden Primzahlen 
sind derzeit ab ca. 510 Bit^ d. h. n hat eine Lange von ca. 
1020 Bit. Fur L wird eine GroBe O(log log n) empfohlen, fur n 
von 1000 Bit ein Wert von ca. 3-10. 

Die in Zukunft zu wahlenden Bitlangen konnen sich an den 
Parametern des RSA-Verf ahrens orientieren. 

Ein Vorteil des hier prSsentierten Verfahrens ist, dass die 
Anzahl der Nutzdaten doppelt so groB wie bei vergleichbaren 
Verfahren ist. 



Mit Standardalgorithmen wird eine Verschltisselungskomplexitat 
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von 0(L log^ n) erreicht, wenn man den Aufwand ftir eine 
Multiplikation mit O(log^ii; rechnet. Fur die 

Entschlusselungskomplexitat muss man bei Benutzung von 
gangigen Algorithmen mit einem Aufwand von 0(L log^ n) rechnen. 
Wahlt man fiir L eine Grolienordnung von O(log log n) , so ergibt 
sich bei der Verschlusselung gegenuber dem RSA-Verf ahren ein 
Zeitvorteil (neben der groBeren Nutzdatenrate) . 

Wie beim Rabin- und Williamsverf ahren muss man bei der 
Realisierung beachten, dass jeweils nur die richtigen Wurzeln 
von Gleichung (3) bei der Entschlusselung den Dechif f rierer 
verlassen, da ansonsten die Zahl n faktorisiert werden kann. 

In einer weiteren Ausgestaltung wie beim RSA-Verf ahren kann 
der Modul n auch mehr als zwei groJSe Primfaktoren enthalten. 
Dementsprechend erhoht sich natiirlich auch die Anzahl der 
Losungen von Gleichung (3) . 

Eine weitere Verallgemeinerung wird dadurch erreicht, dass bei 
der Rekursion noch zusStzliche Konstanten eingefuhrt werden: 

ai+i = kx • a± + k2 * mod n 

b±+x = Jcj • ai • Jbi mod n, 

die als Teil des 5ffentlichen Schltlssels bekannt gemacht 
werden. Die Dechif frierung geschieht in entsprechend 
modif izierter Form. 

In einer weiteren AusfUhrungsf orm wird die GroBe der Tupel 
verandert. Statt mit Zweitupeln m = fmi, m2) kann man auch mit 
q- Tupeln arbeiten. Im Folgenden wird die Erweiterung anhand 
von Drei-Tupeln illustriert. Die Nachricht besteht nun aus dem 
Dreitupel 
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Die Formel ftir den L-ten Iterationsschritt lautet unverandert 

wobei allerdings die Grunditeration f\m)^iMm)MmXfi(my) wie 
folgt gebildet wird 

/, (m) = /«, + /Wj + ma mod« 

/j (ot) = m, • + ^1 • + iWj • /K3 mod n 

f^im) = Wj • wij • modn . 

Die RUckrechnung erfolgt durch AuflSsung einer Gleichung 
dritten Grades. Die Unterscheidung der Wurzeln kann wieder 
durch entsprechend von den Zwischenergebnissen abgeleiteten 
Informationen (Paritats-, Jacobi symbol, etc.) geschehen. Die 
Erweiterung auf Grade grolier oder gleich vier kann in analoger 
Weise geschehen. Bei der Iteration sind im Wesentlichen die 
elementarsymmetrischen Newtonschen Terme zu betrachten, zu 
denen noch zusStzliche Konstanten, wie bereits oben 
beschrieben wurde, hinzutreten konnen. 

Im Folgenden wird anhand eines Beispiels das Verfahren der 
vorliegenden Erfindung deutlich gemacht. Die im Folgenden 
gewahlten Zahlen sind aus Grunden der Obersichtlichkeit sehr 
klein gewahlt. Sei n = 8549 = p • g, mit den geheimen 
Primzahlen p = 83 und q = 103. Die Anzahl der Iterationen sei 
L = 3 und die zu verschlUsselnde Nachricht sei gegeben durch 
m = (mir mz) = a23,456;. Gerade Paritat werde durch eine Null, 
ungerade Paritat durch eine Eins codiert. Hierzu dient das 
Paritatsbit bp. 1st das Jacobisymbol gleich eins wird eine 
Eins, ist es gleich minus eins, wird eine Null codiert. Hierzu 
wird das Jacobibit Jbjbenutzt. 
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Man erhalt die folgenden Werte 

(ao, bo) = (123,456) 

(ai, t>i) = (579,4794) 

(as, b2) = (5373,5850) 

{a3r ba) = (2674,5926) 

Zu jedem der drei Paare (ai, 2?a) , (a^, i^^) und (a^, i33) warden 
noch I. • 2 Bits Paritats- und Jacobibits, die im Beispiel 
durch den folgenden BinSrvektor (&i^.6j,.&7>,>*j,»*fl»*A) 
(0,0,1,1/0 fl) gegeben sind, hinzugefugt. 

Der Empfanger bestimmt zunSchst die vier Wurzeln w^,,,, = 
1629,4036,4513,6920. Anhand von b,^ = 0 erkennt er, dass die 
richtige Wurzel gerade ist. Es bleiben also nur 4036 und 6920. 
von diesen ist (4036/8549) = -1 und (6920/8549) = 1. 6,, = 0 
besagt, dass 4036 die richtige Wahl ist. Analoges Vorgehen 
ftihrt zur vollstandigen Entschiasselung. 

Auf die Mittibertragung der Bits zur AuflSsung der 
Mehrdeutigkeit kann man in bestimmten Anwendungsf alien 
verzichten, z. B. wenn die unverschltisselte Nachricht m 
Redundanz enthSlt. Dies ist beispielsweise bei normalen Texten 
der Fall oder wenn bereits in m ein so genannter Hashwert 
untergebracht wurde. Dies wird jedoch durch einen urn den 
Faktor 4^ erhShten Entschltisselungsaufwand erkauf t. 
Entsprechende Kompromisse sind ebenfalls mSglich, z. B. 
verringert die Angabe von nur der ParitSt in jedem der L 
Schritte die Zahl der mitzusendenden Bits auf L Bit und erhoht 
den Entschliisselungsaufwand um den Faktor 2^* 

Wie bei den in der Literatur ( [1] , [3] , [4] , [5] ) bekannten 
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asymmetrischen Verfahren kann man auch bei dem vorgeschlagenen 
Verfahren im Wesentlichen durch Vertauschen von Ver- und 
Entschlusselungsoperationen ein so genanntes digitales 
Signaturverf ahren erhalten. 
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Patentanspruche 



l.Verfahren zur VerschlUsselung von Daten nach einem 
asymmetrischen Verfahren, basierend auf einem 
Faktorisierungsproblem, mit einem Offentlichen 
Schliissel und einem privaten SchlUssel, wobei der 
offentliche Schltissel die Iterationszahl L sowie die 
zusammengesetzte Zahl n ist, wobei n vorzugsweise das 
Produkt mehrerer grolier Primzahlen ist, wobei der 
private Schliissel aus der Faktorisierung von n besteht, 
wobei die zu verschlvisselnde Nachricht m = (mj, m2) 
mindestens aus den Bestandteilen mi und mz besteht, 
wobei eine Verschltisselungsfunktion f (x) insgesamt 
Lmal iteriert wird, mit c = ic„c,) = f\m) ^ .^bei 
/(»») = (/i(/»),/2("»)) gilt und /j=(/niOp,m2)modn sowie 
f^={m,op^m^)modn, wobei opi vorzugsweise eine Addition ist 
und op2 vorzugsweise eine Multiplikation ist, wobei die 
Verschltisselungsfunktion f(x) so gewahlt ist, dass 
durch i-malige Auflosung einer quadratischen Gleichung 
modulo n die Verschlusselungsiteration rackgSngig zu 
machen ist, wodurch aus der verschltisselten Information 
c = ('cl, c2) die ursprUngliche Nachricht 
wiederzugewinnen ist. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
eine Mehrdeutigkeit der quadratischen Gleichung durch 
zusatzliche Bits von ai und i>i, eliminiert wird. 

3. verfahren nach Anspruch 2, dadurch gekennzeichnet, dass 
die Mehrdeutigkeit der quadratischen Gleichung durch 
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Berechnung einer ParitSt und eines Jacobisymbols 
eliminiert warden, die insbesondere bei Primzahlen der 
Form 3 mod 4 durch 2 Bit je Iterationsschritt 
mitgeteilt warden kSnnen. 

4. Verfahren nach einem oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet , dass allgemeine 
Iterationen /j •m, +^2 •'W2)niodn sowie /j =^3 •Wzmodw 
verwendet werden, wobei die Konstanten Teil des 
Offentlichan SchlQssels sind. 

5. Verfahren nach einem oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 
zusammengesetzte Zahl n als Sffentlicher Schiassel mehr 
als zwei Faktoren enthalt. 

6. Verfahren nach einem oder mehreren der vorhergehenden 
Anspriiche , dadurch gekennzeichnet, dass die Nachricht 
nun aus einem N-Tupel besteht m = {m^..mn) , wobei die 
Formel fiir den I>-ten Iterationsschritt in jedem 
Iterationsschritt Abhangigkeiten von N Wert en 
verwendet . 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass 
die Mehrdeutigkeit durch zusatzliche Bits aufgelOst 
wird, die aus den in jeder Iteration erhaltenen Werten 
abgeleitet werden. 

8. Verfahren nach einem oder mehreren der vorhergehenden 
Anspruche, dadurch gekennzeichnet, dass die 
Mehrdeutigkeit durch Redundanz in den " iibermittelten 
Daten aufgelost wird. 

9. Verfahren zur Erzeugung einer Signatur, dadurch 
gekennzeichnet, dass durch Vertauschung der Ver- und 
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Entschlusselungsschritte aus dem vorhergehenden 
Verfahren eine Signatur erzeugt wird, 

10- Software fur einen Computer, dadurch gekennzeichnet, 
dass ein Verfahren nach einem Oder mehreren der 
vorhergehenden Ansprache implementiert ist. 

11. Datentrager far einen Computer, gekennzeichnet durch 
die Speicherung einer Software nach dem vorhergehenden 
Sof twareanspruch . 

12. Computersystem, gekennzeichnet durch eine 
Einrichtung, die den Ablauf eines Verfahrens nach einem 
Oder mehreren der vorhergehenden Verf ahrensansprtiche 
erlaubt. 
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